В настоящее время мы пытаемся добиться соответствия PCI с помощью сканера уязвимостей Trustwave.
Версия Magento - 1.5.1.0, работающая на CentOS 5.
Мы подошли к последней проблеме согласно отчету о соответствии PCI. Мы оспаривали этот вопрос, но они отказались. Вот подробности:
Проблема:
Версия PHP, работающая на этом хосте, подвержена переполнению буфера на основе стека в функции socket_connect в ext / sockets / sockets.c, что может позволить контекстно-зависимым злоумышленникам выполнять произвольный код через длинный путь к сокету UNIX.
Эта уязвимость была устранена в версии PHP, которая скоро будет выпущена, однако исправления этой проблемы могут существовать. Следует связаться с вашим поставщиком, чтобы определить, существует ли решение в настоящее время.
В качестве альтернативы, устранение использования функции socket_connect во всех приложениях PHP также смягчит эту проблему.
Мой спор
(Как и в случае со всеми другими проблемами, я представил список точных версий, которые мы используем).
Apache: httpd-2.2.3-45.el5.centos.1
PHP: php-common-5.3.6-3.el5.art php-5.3.6-3.el5.art php-mbstring-5.3.6-3.el5.art php-pear-1.7.2-2.el5 .искусство
SSL: mod_ssl-2.2.3-45.el5.centos.1
SSH: openssh-4.3p2-72.el5_6.3 openssh-server-4.3p2-72.el5_6.3
Причина отклонения
Мы отклонили этот спор на основании предоставленной информации, указывающей, что php-5.3.6-3.el5.art работает в этой системе.
Документация, показывающая, что эта версия обращается к php-5.3.6-3.el5.art, не найдена.
Пожалуйста, повторно оспорите эту уязвимость и предоставьте более подробную информацию или доказательства того, что эта версия успешно решила эту проблему (например, предоставив ссылку, предоставленную поставщиком, вместе с объяснением / заявлением, показывающим, что эта версия устраняет CVE-2011-1938).
CVE ссылка http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1938
Нам было интересно, удалось ли кому-нибудь обойти эту проблему с помощью Magneto 1.5.1.0 и тестеров уязвимостей PCI?
Наш поставщик услуг (веб-хостинг) любезно дал нам этот ответ:
Я считаю, что Magento довольно широко использует socket_connect. Как я сказал в предыдущем письме, я считаю, что Red Hat снизила приоритет срочности исправления этой конкретной ошибки и пока еще не исправила ее.
https://www.redhat.com/security/data/cve/CVE-2011-1938.html
«Группа реагирования Red Hat Security Response оценила эту проблему как имеющую низкое влияние на безопасность, будущие обновления могут устранить эту уязвимость».
Исправление не было реализовано и в версиях пакетов Atomic Corp. Я предполагаю, что следующим шагом может быть рассмотрение компиляции PHP из исходных пакетов Atomic и ручного исправления ошибки, но этого может быть недостаточно, чтобы удовлетворить аудиторов без подтверждающей документации от признанного органа безопасности.
Мы надеемся, что кто-то сталкивался с этой проблемой раньше и знает обходной путь.
Похоже, что в 5.3.7 будет исправление. Если можете, я говорю, держитесь и ждите релиза. Согласно список рассылки, 5.3.7 RC5 был выпущен 11 августа, чтобы исправить пару регрессов в RC4, и мы надеемся, что финальный релиз состоится на следующей неделе.
Я не уверен в сроках, поэтому не знаю, насколько вероятно это поможет вам.
Кстати, строка 286 на НОВОСТИ показывает исправление
Это отстой. Это действительно отстой, потому что текущая стабильная версия PHP все еще уязвима. Вот что вы делаете (ура открытый исходный код!):
В качестве альтернативы вы можете использовать одну из готовящихся к выпуску версий-кандидатов. Лично я предпочитаю исправлять стабильную версию.
Однако ваш аудитор поступил правильно. RedHat тоже должен ... это простое исправление пакета ... http://www.securityfocus.com/bid/47950/exploit
Также рассмотрите возможность отключения expose_php, что является лучшей практикой.
Я заметил, что отключение этого параметра не дает аналогичным сканерам информацию, необходимую для определения вашей уязвимости. Кроме того, он не дает злоумышленникам такую же информацию.